Noticias

Minientrada

Google aumenta las recompensas por vulnerabilidades en Chrome hasta 250.000 dólares

Google ha decidido incrementar las recompensas de su programa de detección de vulnerabilidades en Chrome, ofreciendo ahora hasta 250.000 dólares para investigadores de seguridad que descubran fallos críticos. Este aumento en las recompensas refleja la continua prioridad de Google en la seguridad de su navegador.

El programa de recompensas, que existe desde 2010, ya ha pagado más de 30 millones de dólares a investigadores. Las nuevas recompensas incluyen aumentos significativos en las categorías de vulnerabilidades relacionadas con la «escalada de privilegios en Windows» y otros errores críticos.

El gigante tecnológico también ha anunciado mejoras en la documentación y recursos para investigadores, con el fin de facilitar la identificación de vulnerabilidades. Estos cambios subrayan la importancia de mantener Chrome seguro frente a posibles ataques y explotaciones.

El fallo de Windows. CrowdStrike ha hablado.

Ya ha pasado casi un mes de uno de los sucesos que ha sido, sin duda, uno de los problemas cibernéticos más importantes del año y posiblemente de la década. Esta definición no la doy solo yo, si no que la dan altos cargos de otras empresas como Omer Grossman (CIO de CyberArk).

La actualización defectuosa hizo que más de 8.5 millones de ordenadores con Windows como sistema operativo estuvieran inservibles y el daño a los procesos empresariales a nivel mundial fue dramático. Este fallo afectó tanto a pequeñas empresas como a infraestructuras críticas, como hospitales.

Desde CrowdStrike explicaron unos días despues lo sucedido y cual fue la causa del error y de no saltar las alarmas de los diversos controles realizados antes de su puesta en producción.

Primero comenzar explicando que hay dos punto clave en este problema:

  1. «Sensor content»
  2. «Rapid response content»

Sensor content

Fue el principal acusado en el momento de máxima tensión. Es muy común que se actualiza y para desplegar debe pasar diversos test (Unitarios, de integración, de estrés y de desempeño). Contiene diversos modelos de machine learning, IA, etc para detectar amenazas de una forma más efizaz.

Los clientes pueden elegir que versión tener. Es decir, pueden escoger actualizar siempre a la última versión (N) o pueden escoger alguna versión previa (N-1, N-2….), que debería estar más testada y, por tanto, ser más estable.

Desde CrowdStrike nos aclararon que este no fue el culpable del incidente. El despliegue fue correcto, paso un exhausitvo QA y todos los test. Es decir, no dio ningún problema.

Rapid response content

Es el encargado de analizar patrones de comportamiento. Busca similitudes con virus conocidos para detectar cuando algún virus muta o se camufla de cierta forma.

El «código» (que realmente no es código como tal), está en un archivo binario propietario. Es decir, es un archivo binario cuyo «código» es privado.

Básicamente funciona con heurísticas de comportamiento, es decir, intenta detectar amenazas basándose en como se comportan los programas y no en lo que son. Para que lo veamos con un ejemplo, se podría decir que se trata de un policía que en lugar de fijarse en tu nombre y antecedentes, analiza si estás teniendo un comportamiento extraño.

Esto se entrega como «Template instance», o lo que es lo mismo, modelos de comportamiento.

Dentro de cada actualización del sensor «Falcon», está dentro este «Rapid Response Content»

Falcon

Tiene tres subsistemas:

  • «Content Configuration System»
  • «Content Interpreter»
  • «Sensor Detection Engine»

Content Configuration System

Nos vamos a centrar en este, que es el que nos importa para este caso.

Antes de cada despliegue, una tarea a realizar es pasar un «Content Validator» que se encarga de comprobar que los «Template Instances» sean los correctos.

¿Qué ocurrió?

El día 28 de marzo se despliega el sensor 7.11. Añade un nuevo «IPC Template Type», que detecta novedosas vías de ataque. Ataques que atacaban a las «Named Pipes» por si te interesa informarte más en profundidad.

El 5 de marzo, se realiza un test de estrés del «IPC Template Type», que resulta exitoso. Se lanza el archivo «Channel File 291», siguiendo todos los tests exitosamente.

Otras tres «IPC Template Instances» se despliegan correctamente entre el 8 y el 24 de abril.

El 19 de julio, se despliegan 2 nuevas «IPC Template Instances». Y es en estas donde empiezan los problemas. El «Content Validator» tiene un bug que hace que no se detecten unos datos inválidos (a pesar de que el 5 de marzo se habían superado todos los test pertinentes). Como no detecta ningún error, se despliega en producción.

El sensor «Falcon» que tienen todos los ordenadores, recibe los datos y los carga en el «Content Interpreter». El «Channel File 291» produce un out-of-bounds memory exception porque también existía un bug de manejo de excepciones.

Y……

Medio mundo parado por una excepción mal manejada que salta de un fichero mínimamente incorrecto que no se detecta por un bug en un «Content Validator» que ha pasado unos tests que justamente no comprobaban lo que falló.

Tienes la explicación completa aquí: https://www.crowdstrike.com/falcon-content-update-remediation-and-guidance-hub/

Un ciberataque ha dejado al descubierto los datos personales de aproximadamente 50000 personas.

Un ciberataque ha expuesto los datos personales de aproximadamente 50,000 profesionales de la sanidad en Granada. Este incidente comprometió información sensible de empleados de hospitales y centros de salud, poniendo en riesgo su privacidad y seguridad. Los datos afectados incluyen nombres, direcciones, números de identificación y posiblemente información financiera, lo que aumenta el riesgo de robo de identidad y otros tipos de fraude.

El ataque destaca la creciente amenaza de ciberataques en el sector de la salud, un área especialmente vulnerable debido a la gran cantidad de datos personales que maneja y su importancia crítica. Las autoridades han iniciado una investigación para identificar a los responsables y evaluar el alcance completo del daño. También se están tomando medidas para reforzar la ciberseguridad en los sistemas afectados, incluyendo auditorías de seguridad y la implementación de nuevas tecnologías de protección de datos.

Este incidente subraya la urgencia de mejorar las defensas cibernéticas en las instituciones de salud, no solo para proteger la información personal de los empleados, sino también para asegurar la continuidad de los servicios médicos esenciales. La comunidad médica y los expertos en ciberseguridad están colaborando para desarrollar estrategias más robustas y proactivas contra futuros ataques, enfatizando la necesidad de capacitación continua y la adopción de mejores prácticas en seguridad informática.

En resumen, el ciberataque en Granada pone de manifiesto la importancia de la ciberseguridad en el sector sanitario y la necesidad de una respuesta coordinada y eficaz para proteger los datos personales de los profesionales de la salud y garantizar la seguridad y privacidad en el manejo de información sensible.

Filtradas las direcciones de correo de 15 millones de usuarios de Trello

Trello es una herramienta de gestión de proyectos en línea propiedad de Atlassian. Las empresas suelen utilizarla para organizar datos y tareas en tableros, tarjetas y listas.

Un usuario ha publicado más de 15 millones de direcciones de correo electrónico asociadas a cuentas de Trello que se recopilaron mediante una API no segura en enero. En enero, BleepingComputer informó que un atacante conocido como ‘emo‘ estaba vendiendo perfiles de 15.115.516 miembros de Trello en un popular foro de piratería. Si bien casi todos los datos de estos perfiles son información pública, cada perfil también contenía una dirección de correo electrónico no pública asociada a la cuenta.

Atlassian, el propietario de Trello, no confirmó en ese momento cómo se robaron los datos, pero el proopio ‘emo‘ le dijo a BleepingComputer que se recopilaron utilizando una API REST no segura que permitía a los desarrolladores consultar información pública sobre un perfil basado en el ID de Trello, el nombre de usuario o la dirección de correo electrónico de los usuarios.

‘emo’ creó una lista de 500 millones de direcciones de correo electrónico y la introdujo en la API para determinar si estaban vinculadas a una cuenta de Trello. Luego, la lista se combinó con la información de la cuenta obtenida para crear perfiles de miembros para más de 15 millones de usuarios. Finalmente, emo compartió la lista completa de 15.115.516 perfiles en el foro de piratería Breached por ocho créditos del sitio (por un valor de $2,32).

«Trello tenía un punto final de API abierto que permitía a cualquier usuario no autenticado asignar una dirección de correo electrónico a una cuenta de Trello», explicó emo en la publicación del foro. Continuaba diciendo que «originalmente, solo iba a alimentar los correos electrónicos de los puntos finales desde bases de datos ‘com’ (OGU, RF, Breached, etc.), pero decidí seguir con los correos electrónicos hasta aburrirme».

Esta información (Correo y nombre completo de los usuarios) se puede utilizar en ataques de phishing dirigidos para robar información más confidencial, como contraseñas. ‘emo’ también dice que los datos se pueden usar para doxing, lo que permite a los atacantes vincular direcciones de correo electrónico a personas y sus alias.

Desde Atlassian indicaron que se había corregido el problema: «Gracias a la API REST de Trello, los usuarios pueden invitar a miembros o invitados a sus tableros públicos por correo electrónico. Sin embargo, dado el uso indebido de la API descubierto en esta investigación de enero de 2024, realizamos un cambio para que los usuarios o servicios no autenticados no puedan solicitar información pública de otro usuario por correo electrónico. Los usuarios autenticados aún pueden solicitar información que está disponible públicamente en el perfil de otro usuario mediante esta API. Este cambio logra un equilibrio entre evitar el uso indebido de la API y mantener la función «invitar a un tablero público por correo electrónico» en funcionamiento para nuestros usuarios. Continuaremos monitoreando el uso de la API y tomaremos las medidas necesarias».

Las API no seguras se han convertido en un objetivo popular para los atacantes, que abusan de ellas para combinar información no pública, como direcciones de correo electrónico y números de teléfono, con perfiles públicos.

En 2021, se aprovecharon de una API para vincular números de teléfono a cuentas de Facebook , creando perfiles para 533 millones de usuarios.

En 2022, Twitter sufrió una vulneración similar cuando atacantes utilizaron de una API no segura para vincular números de teléfono y direcciones de correo electrónico a millones de usuarios.

Más recientemente, se utilizó una API de Twilio no segura para confirmar los números de teléfono de 33 millones de usuarios de la aplicación de autenticación multifactor Authy.

Millones de clientes del software espía mSpy con sus datos filtrados

El software mSpy es una aplicación de vigilancia de teléfonos que se promociona como una forma de rastrear a niños o monitorear a empleados. Como la mayoría de los programas espía, también se usa ampliamente para monitorear a personas sin su consentimiento.

Este tipo de aplicaciones también se conocen como «stalkerware» porque las personas que tienen relaciones románticas a menudo las usan para vigilar a su pareja sin su consentimiento o permiso. La aplicación mSpy permite a quien haya colocado el software espía, generalmente alguien que previamente tuvo acceso físico al teléfono de la víctima, ver de forma remota el contenido del teléfono en tiempo real.

En mayo de 2024, robaron millones de tickets de soporte al cliente, incluida información personal, correos electrónicos de soporte y archivos adjuntos de mSpy. Si bien los ataques a proveedores de software espía son cada vez más comunes, siguen siendo notables debido a la información personal altamente confidencial que a menudo se incluye en los datos, en este caso sobre los clientes que usan el servicio.

El ataque abarcó registros de servicio al cliente que datan de 2014, que fueron robados del sistema de soporte al cliente basado en Zendesk del fabricante de software espía.

Como es habitual con los programas espía para teléfonos, los registros de clientes de mSpy incluyen correos electrónicos de personas que buscan ayuda para rastrear subrepticiamente los teléfonos de sus parejas, familiares o hijos. Algunos de esos correos electrónicos y mensajes incluyen solicitudes de asistencia al cliente de varios militares estadounidenses de alto rango, un juez de un tribunal federal de apelaciones de Estados Unidos en funciones, un organismo de control de un departamento del gobierno de Estados Unidos y una oficina del sheriff del condado de Arkansas que solicita una licencia gratuita para probar la aplicación. De hecho se cree que los datos filtrados corresponden a los clientes que solicitaron asistencia, y que el número de clientes es mucho mayor.

Sin embargo, los propietarios de mSpy, una empresa con sede en Ucrania llamada Brainstack, no han reconocido ni revelado públicamente la violación.

Troy Hunt, quien dirige el sitio de notificación de violaciones de datos Have I Been Pwned , obtuvo una copia del conjunto completo de datos filtrados, agregando alrededor de 2,4 millones de direcciones de correo electrónico únicas de clientes de mSpy al catálogo de violaciones de datos pasadas de su sitio.

Según una lista compilada recientemente por TechCrunch , mSpy es el último programa espía para teléfonos que ha sido hackeado en los últimos meses. La vulneración de mSpy demuestra una vez más que no se puede confiar en que los fabricantes de programas espía mantengan seguros sus datos, ni los de sus clientes ni los de sus víctimas.

Créditos de la imagen: TechCrunch

Esta es la tercera violación de datos conocida de mSpy desde que la empresa comenzó alrededor de 2010. mSpy es una de las operaciones de software espía para teléfonos de más larga duración, lo que en parte explica cómo acumuló tantos clientes.

A pesar de su tamaño y alcance, los operadores de mSpy han permanecido ocultos a la vista del público y han eludido en gran medida el escrutinio, hasta ahora. No es raro que los creadores de software espía oculten las identidades reales de sus empleados para proteger a la empresa de los riesgos legales y de reputación asociados con la realización de una operación de vigilancia telefónica global, lo cual es ilegal en muchos países.

Pero la violación de datos de Zendesk de mSpy expuso que su empresa matriz era una empresa tecnológica ucraniana llamada Brainstack.

Puedes obtener más información sobre esta brecha de seguridad aquí: https://blog.miguelandrescaballero.es/mSpy

Comandos Linux más Utilizados

Aquí os dejo el listado de los comandos de Linux que más se utilizan en la actualidad:

  1. ls: Lista el contenido de un directorio
  2. cd: Cambia el directorio actual
  3. pwd: Muestra el directorio de trabajo actual
  4. cp: Copia archivos y directorios
  5. mv: Mueve o renombra archivos y directorios
  6. rm: Elimina archivos y directorios
  7. mkdir: Crea nuevos directorios
  8. rmdir: Elimina directorios vacíos
  9. touch: Cambia los tiempos de acceso y modificación de un archivo o crea archivos vacíos
  10. chmod: Cambia los permisos de archivos y directorios
  11. chown: Cambia el propietario de archivos y directorios
  12. chgrp: Cambia el grupo de archivos y directorios
  13. cat: Concatenar y mostrar el contenido de archivos
  14. echo: Muestra un mensaje o el valor de una variable
  15. more: Muestra el contenido de archivos pantalla por pantalla
  16. less: Similar a `more`, pero con capacidades de navegación adicionales
  17. head: Muestra las primeras líneas de un archivo
  18. tail: Muestra las últimas líneas de un archivo
  19. grep: Busca patrones en archivos
  20. find: Busca archivos y directorios en una jerarquía
  21. locate: Encuentra archivos por nombre rápidamente
  22. df: Muestra el uso del espacio en disco
  23. du: Muestra el uso del espacio de un archivo o directorio
  24. ps: Muestra información sobre los procesos activos
  25. top: Muestra los procesos en ejecución y su uso de recursos
  26. kill: Envía una señal a un proceso para finalizarlo
  27. killall: Mata todos los procesos que coinciden con un nombre dado
  28. xargs: Construye y ejecuta comandos desde la entrada estándar
  29. man: Muestra el manual de un comando
  30. apropos: Busca en las páginas del manual por palabra clave
  31. whoami: Muestra el nombre del usuario actual
  32. hostname: Muestra o establece el nombre del host del sistema
  33. uname: Muestra información del sistema
  34. uptime: Muestra el tiempo de actividad del sistema
  35. dmesg: Muestra mensajes del buffer del anillo del kernel
  36. free: Muestra la cantidad de memoria libre y utilizada en el sistema
  37. vmstat: Muestra estadísticas del sistema
  38. iostat: Muestra estadísticas de entrada/salida del sistema
  39. mount: Monta un sistema de archivos
  40. umount: Desmonta un sistema de archivos
  41. fsck: Verifica y repara un sistema de archivos
  42. mkfs: Crea un sistema de archivos en un dispositivo
  43. dd: Copia y convierte archivos
  44. tar: Archiva archivos en tarballs
  45. gzip: Comprime archivos con el algoritmo gzip
  46. gunzip: Descomprime archivos comprimidos con gzip
  47. zip: Comprime archivos en un archivo zip
  48. unzip: Extrae archivos de un archivo zip
  49. ping: Envía paquetes ICMP ECHO_REQUEST a una red
  50. ssh: Inicia una sesión de terminal segura en una máquina remota
  51. scp: Copia archivos entre hosts de forma segura
  52. rsync: Sincroniza archivos y directorios entre dos ubicaciones
  53. wget: Descarga archivos de la web
  54. curl: Transfiere datos desde o hacia un servidor
  55. ftp: Interactúa con servidores FTP
  56. nc: Lee y escribe datos en conexiones de red
  57. ip: Muestra y manipula configuraciones de red
  58. ifconfig: Configura interfaces de red
  59. netstat: Muestra conexiones de red, tablas de enrutamiento, y más
  60. traceroute: Rastrea la ruta de un paquete en la red
  61. route: Muestra y manipula tablas de enrutamiento IP
  62. iptables: Configura reglas del cortafuegos de IP
  63. ufw: Interfaz simplificada para `iptables`
  64. systemctl: Controla el sistema y el administrador de servicios
  65. service: Inicia, detiene y reinicia servicios
  66. journalctl: Muestra mensajes del journal del sistema
  67. cron: Programa tareas para su ejecución periódica
  68. at: Programa tareas para su ejecución única
  69. crontab: Edita la tabla de tareas programadas del cron
  70. alias: Crea alias para comandos
  71. unalias: Elimina alias
  72. history: Muestra el historial de comandos
  73. source: Ejecuta comandos desde un archivo en el contexto del shell actual
  74. export: Define variables de entorno
  75. env: Muestra y modifica el entorno
  76. set: Configura opciones de shell y muestra variables
  77. unset: Elimina variables o funciones
  78. bg: Envía un proceso al fondo
  79. fg: Trae un proceso del fondo al frente
  80. jobs: Muestra trabajos en segundo plano
  81. nohup: Ejecuta un comando que persiste después de cerrar la sesión
  82. nice: Ejecuta un comando con una prioridad modificada
  83. renice: Cambia la prioridad de un proceso en ejecución
  84. ncdu: Una herramienta de análisis de uso de disco con una interfaz de usuario basada en ncurses
  85. htop: Una herramienta interactiva para monitorear los procesos del sistema, similar a top, pero con una interfaz más amigable y opciones adicionales
  86. lsof: Lista archivos abiertos por procesos
  87. strace: Rastrea llamadas al sistema y señales
  88. lscpu: Muestra información sobre la CPU
  89. lsblk: Muestra información sobre dispositivos de bloques
  90. blkid: Muestra atributos de dispositivos de bloques
  91. hdparm: Configura dispositivos ATA/IDE
  92. smartctl: Controla y monitorea dispositivos SMART
  93. tune2fs: Ajusta parámetros de sistemas de archivos ext2/ext3/ext4
  94. uuidgen: Genera UUIDs
  95. basename: Elimina directorios y su fija de un nombre de ruta
  96. dirname: Elimina componentes de la ruta y deja solo el directorio
  97. readlink: Muestra el destino de un enlace simbólico
  98. ln: Crea enlaces (hard y simbólicos)
  99. diff: Compara archivos línea por línea
  100. patch: Aplica un parche a un archivo

Fuente: MoureDev

Nuevo Record Histórico de Filtrado de Contraseñas

El día 4 de Julio apareción en un foro de la dark web un archivo de texto llamado rockyou2024.txt (Enlace de descarga). Esto después de que hace unos meses (en enero) se descubriera la llamada «madre de todas las brechas«.

Se han publicado 10.000millones de cóntraseñas únicas. Para ser más exactos 9.948.575.739. El equipo de investigación de Cybernews cree que la filtración plantea graves peligros para los usuarios propensos a reutilizar contraseñas.

Aunque el usuario se registró a finales de mayo de 2024, anteriormente había compartido una base de datos de empleados del bufete de abogados Simmons & Simmons, información de un cliente potencial del casino en línea AskGamblers y solicitudes de estudiantes para Rowan College en el condado de Burlington.

El equipo comparó las contraseñas incluidas en la filtración RockYou2024 con los datos del Leaked Password Checker de Cybernews, revelando que estas contraseñas provenían de una combinación de filtraciones de datos tanto nuevas como antiguas.

Tras someter su contenido a análisis, son varias las conclusiones extraídas por los investigadores. La primera es que son credenciales reales y la segunda, de las más destacables, es que entre ellas se encuentran tanto claves ya obtenidas en filtraciones anteriores, como otras que no habían visto la luz hasta ahora. El archivo tiene como fecha de creación el 4 de julio y su autor, identificado con el seudónimo ObamaCare en el foro en el que lo ha compartido, ya filtró anteriormente una base de datos de empleados del bufete de abogados Simmons & Simmons, información del casino en línea AskGamblers y solicitudes de estudiantes para el Rowan College.

«En esencia, la filtración RockYou2024 es una recopilación de contraseñas del mundo real utilizadas por personas de todo el mundo. Revelar que muchas contraseñas para actores de amenazas aumenta sustancialmente el riesgo de ataques de relleno de credenciales», dijeron.

Este filtrado podría afectar tanto usuario como a empresas, ya que con ellas se pueden realizar ataques de relleno de credenciales,  que pueden resultar muy perjudiciales.

«Los actores de amenazas podrían explotar la compilación de contraseñas de RockYou2024 para realizar ataques de fuerza bruta y obtener acceso no autorizado a varias cuentas en línea utilizadas por personas que emplean contraseñas incluidas en el conjunto de datos», explicó el equipo.

Los más informados en asuntos de ciberseguridad seguramente no encontrarán este nombre totalmente extraño, y es que hace tres años se filtró un documento llamado RockYou2021.txt que también se convirtió, en su momento, en el mayor listado de credenciales filtradas visto hasta ese momento. Aquel documento incluía alrededor de 8.400 millones de claves.

Utilizar una contraseña insegura es un riesgo enorme, pero lo cierto es que emplear una contraseña segura tampoco garantiza, a estas alturas, que nuestras cuentas no vayan a ser vulneradas. Algunas tecnológicas llevan ya años trabajando en Passkey (del que haremos un artículo específico), el sistema que pretende acabar con las contraseñas como método de autenticación, y afortunadamente su uso ya ha empezado a implantarse. De momento no tan rápido y de manera tan universal como nos gustaría, pero al menos el cambio ya está en marcha. Mientras tanto lo más seguro es utilizar varios sistemas de autenticacion 2FA o MFA.

El equipo de Cybernews cree que los atacantes pueden utilizar la compilación RockYou2024 de diez mil millones de unidades para atacar cualquier sistema que no esté protegido contra ataques de fuerza bruta. Esto incluye todo, desde servicios en línea y fuera de línea hasta cámaras con acceso a Internet y hardware industrial.

«Además, combinado con otras bases de datos filtradas en foros y mercados de hackers, que, por ejemplo, contienen direcciones de correo electrónico de usuarios y otras credenciales, RockYou2024 puede contribuir a una cascada de filtraciones de datos, fraudes financieros y robos de identidad», afirmó el equipo.

¿Cómo protegerse contra RockYou2024?

Aunque no existe una solución infalible para proteger a los usuarios cuyas contraseñas han sido expuestas, las personas y organizaciones afectadas deben implementar las siguientes estrategias de mitigación:

  1. Restablecer inmediatamente las contraseñas de todas las cuentas asociadas con las contraseñas filtradas. Es fundamental elegir contraseñas seguras y únicas que no se reutilicen en varias plataformas.
  2. Habilitar la autenticación multifactor (MFA) siempre que sea posible. Esto mejora la seguridad al requerir una verificación adicional además de la contraseña.
  3. Utilizar un software de administración de contraseñas para generar y almacenar de forma segura contraseñas complejas. Los administradores de contraseñas reducen el riesgo de reutilización de contraseñas en diferentes cuentas.

Cybernews incluirá datos de RockYou2024 en su Comprobador de contraseñas filtradas, permitiendo a los usuarios verificar si sus credenciales han sido expuestas a través de esta última compilación de contraseñas filtradas.

En 2024, fuimos testigos de una segunda compilación récord filtrada en línea con RockYou2024. A principios de este año, Cybernews descubrió la «Mother Of All Breaches» (COMB), que contiene la asombrosa cantidad de 12 terabytes de información, abarcando más de 26 mil millones de registros.